目次
- パネルディスカッション
- 質問1「プライバシーガバナンス対応体制構築・個人情報保護法対応について、まずは何から着手すべきか?」
- 質問2「体制構築時にどこをメイン担当部署にすべきか?また、どこの部署を巻き込むとよいか?」
- 質問3「今後のプライバシー保護に対して、おこなっておくべき対策・対応は?」
- 質問4「体制構築等対応について、トップのやる気を起こさせる・維持させるためのコツは?」
- 質問5「体制構築・個人情報保護法対応に着手後、どこまでやるべきか?また、最低限取り組むべきことは何か?」
- 質問6「プライバシー・ポリシーにて公表する個人情報の「利用目的」の粒度はどのくらいであるべきか?」
- 質問7「サービスを利用するときのシステム運用が第三者提供にあたるか、あたらないかの基準は何であると思われますか?」
- 質問8「ISMS認証を取得されているとのことですが、既存事業だけでなく新規事業でも厳しい個人情報管理のルールが適用されてしまい、動きにくいといった事象が生じることはないでしょうか」
- まとめ
2022年9月28日、ベルフェイスはスタートアップ支援の一貫として、スタートアップの法務・プライバシー担当者向けのセミナーを主催いたしました。
「プライバシーガバナンス・個人情報保護法対応において企業が対策すべきポイント」と題した本セミナーでは、日頃よりスタートアップ支援政策に熱心に取り組まれていらっしゃる議員、および各有識者による解説がおこなわれました。
今回は、セミナーの内容についてのレポートの後編をお届けします。
後編はパネルディスカッションの様子をお伝えします。本記事では、当日時間の都合上お答えしきれなかったご質問にも回答しておりますので、ぜひ最後までご覧ください。
登壇者(敬称略)
岩田 和親(衆議院議員)
島岡 政基(経済産業省)
別所 直哉(紀尾井町戦略研究所)
淵邊 善彦(ベンチャーラボ法律事務所 弁護士)
多田 昂正(株式会社コドモン)
左古 悠志(ベルフェイス株式会社)
※本記事内ではみなさま敬称略とさせていただきます
パネルディスカッション
回答者:
別所 直哉(紀尾井町戦略研究所)
淵邊 善彦(ベンチャーラボ法律事務所 弁護士)
※当日のパネルディスカッションの内容から、回答を一部抜粋して掲載しています。
質問1「プライバシーガバナンス対応体制構築・個人情報保護法対応について、まずは何から着手すべきか?」
回答:「経営者自身が意識を持ってビジネスモデルを作ると同時に、社内の認識作りとコンセンサスの形成を」
別所:
最初に「プライバシーガバナンスとは何か」に対し社内の認識作りをし、知見を高めていくことが大切です。
個人情報保護法がカバーする範囲とプライバシーがカバーする範囲は、一致しているわけではなく、重なっていない範囲もあります。この重なっていない範囲、特にプライバシーの範囲にきちんと対応していくことが社会的要請として求められていることを、まず多くの方々に認識していただくことが重要です。
社内のキャッチアップのスピードを上げるためにも、外部有識者の方の力を借りて知見を活用しつつ、社内の認識作りとコンセンサス形成の部分に力を入れていくことが望ましいです。
淵邊:
何から着手すべきかという観点では、スタートアップのどの段階にあるのかによって変わります。スタートアップでも大きな規模の会社であれば、「法務の担当者を通じて、外部の顧問弁護士に相談する」という行動が最初になると思います。
しかし、法務担当者がいない規模の会社の場合、まずは経営者自身が意識を持って、外部のリソースをうまく使ってビジネスを組み立てていくことが大切です。
ビジネスモデルのなかのどこにどのような個人情報があって、それをどう活用するか。かつ、それが適法なのか。これらのリーガルチェックを最初にやらないことには、途中からビジネスを変えたり、同意をとるのは大変ですから。
のちに、会社の規模が大きくなって法務担当者を採用できるようになったら、その人を通じて外部に顧問弁護士をお願いする、という流れをとるのがいいのではないでしょうか。
外部の弁護士の選び方については、顧問の先生が本当にその分野に強いのかを内部の法務担当がよく見極めて、案件に応じて使い分けていくのがいいと思います。
質問2「体制構築時にどこをメイン担当部署にすべきか?また、どこの部署を巻き込むとよいか?」
回答「法務担当者はもちろん、現場をよく知る人を巻き込んで横断的に実施していくことが重要」
別所:
企業のフェーズや規模によって、中心になる部署は変わらざるをえないのですが、少なくとも法務部門の担当者がいる規模の会社であれば、法務系の部門が中心になるのが一つの形ではないかと思います。
プライバシーガバナンスは、大きな視点で言えばコーポレートガバナンスの一部で、コンプライアンス体制の一部でもあります。そこを構築するための企画部門としては、やはり法務系の部署が望ましいです。
ただ、法務部門だけでできることではないので、セキュリティ関連部門や、実際にデータを集めて使う部門の責任者たちが必要です。そういう部門の人たちを巻き込んで、組織づくりをしていくのが重要だと考えます。
淵邊:
別所先生のおっしゃるとおり、自社のシステムや、実際の現場で情報がどのように活用されているのかを理解している人がいないことには、法務部門だけでは机上の空論となります。情報管理やシステム管理の仕組みを理解している人たちを、早い段階で巻き込んでいくことをおすすめします。
また、法務部門がない段階のフェーズの会社でも、社長であったり、社長の右腕として総務を担当をしている方であったりといった法務案件を扱う者が、最低でも一人はいるはずです。法務部門がない場合は、こういった法務担当の方に大きな負荷がかかってしまうので、外部リソースをうまく活用することをおすすめします。
質問3「今後のプライバシー保護に対して、おこなっておくべき対策・対応は?」
回答「社会の動向を継続的に把握していくために、まずは無理のない体制の確保を」
島岡:
AIや自動運転などのさまざまな新しい技術が生まれてくるなか、プライバシーに限らず、時代や状況によって変容していく問題は今後も増えていくと思われます。急速に社会が変化していくなかで各企業に求められるのは、常に最新の情報を把握し、それに基づいて公平・透明な判断をおこなうという継続的な姿勢です。そのためにまずは、無理のない体制の確保をおこなってください。また、企業の姿勢を理解してもらうためには、さまざまな利害関係者の方々と継続的なコミュニケーションを図っていくことが大切です。
質問4「体制構築等対応について、トップのやる気を起こさせる・維持させるためのコツは?」
回答「個人情報保護に投資をしない=ビジネスの機会損失と理解してもらう」
多田:
個人情報保護は単にユーザーの情報を守るだけでなく、それによってビジネスに影響が生じることを理解してもらうのが有効です。
ユーザーをはじめとするステークホルダーからの見え方や、ビジネス上の影響、ビジネス以外にも及ぶあらゆる影響を、他社の失敗事例も交えつつ説明するのが効果的かと思います。
島岡:
ビッグデータ、スマートデバイスやIoTなどの情報通信技術の急速な普及と発展において、コストをかけずに法制度の成熟を待つか、先んじてビジネス機会を獲得するために戦略的な投資をおこなうか。ビジネス戦略としてどちらを取るかになります。
事業内容によっては前者もやむを得ないケースがあるとは思います。しかし、そうでない限りは、投資をしない=機会損失です。このことを、社長や幹部社員といったトップにご理解いただくのがよいのではないでしょうか。
また、外部とのコミュニケーションに長ける企業は、トップ自らが訴求性・包括性・耐炎上性などを慎重に考慮して言葉を選んで発信しているものが多いと感じています。
人の言葉をそのまま使わずトップ自身が言葉を考えるには、必然的にプライバシーに関心を持たざるを得ないので、丁寧な言葉選びを促すのは一つの手かもしれません。
質問5「体制構築・個人情報保護法対応に着手後、どこまでやるべきか?また、最低限取り組むべきことは何か?」
回答「法令遵守だけではなく、社会状況に合った最低限のラインを見極める」
別所:
法令遵守を狭く考えるのであれば、個人情報保護法の遵守が最低限です。しかし、社会全体のプライバシー意識の高まりを考えると、それだけでは足りない面があるのは否めません。
事故や問題が発生しないうちは大丈夫ですが、一度でもプライバシー上の問題が発生してしまえば、「個人情報保護法だけを守っていれば大丈夫」とは言えなくなります。
そのため、『社会状況に合った最低限のライン』を見極めるには、リスクマネジメントという観点も加えたうえで、適切な体制を定めることが必須です。
淵邊:
具体的な行動としては、プライバシーポリシー、個人情報保護規程の作成をしてください。そして、個人情報保護管理責任者の任命、社内における管理方法の周知徹底をされるのがよろしいと思います。
質問6「プライバシー・ポリシーにて公表する個人情報の「利用目的」の粒度はどのくらいであるべきか?」
回答「記載方法にも社会状況に合わせた流れがある。現在の記載方法を押さえ、個人情報がどのように使われるかが合理的に予測・推定できる書き方を」
別所:
実際の記載内容については個別に検討しなければなりませんが、前提として、現在の記載方法の流れを押さえておくことが不可欠です。
以前までは利用目的に、例えば「お客様に連絡するため」のように抽象的な記載がなされていました。しかし現在では「氏名、メールアドレス、電話番号などをお客様にサービスに関するお知らせをするために利用します」というように、どのような個人情報・プライバシー情報を何の目的に使うかを丁寧に説明するようになっています。
利用目的の変更には「同意」が必要であるため、網羅的に記載したいという希望があることは理解できます。しかし、法令(個人情報保護委員会)が期待する程度まで具体的でない場合には、問題があると指摘される可能性があります。
淵邊:
情報提供者本人が、自らの個人情報がどのように使われるかを、合理的に予測・推定できる程度が必要です。個別のサービス名や商品名までは不要ですが、その会社のサービスや商品から想像できないような使い方をするのであれば、具体的な使い方を記載するべきでしょう。
質問7「サービスを利用するときのシステム運用が第三者提供にあたるか、あたらないかの基準は何であると思われますか?」
回答「第三者提供に該当するか否かを、既存の例示に照らし合わせて判断する」
淵邊:
個人情報保護法委員会が提示する「個人情報保護法ガイドラインに関するQ&A」の(第三者に該当しない場合)A7-55に記載があるように、個人データを用いて情報システムの不具合を再現させ検証する場合や、個人データをキーワードとして情報を抽出する場合は、第三者提供に該当する可能性があります。一方でQ&AのA7-55に、システム修正パッチやマルウェア対策のためのデータを配布し適用する場合など、第三者提供に該当しない例示も存在します。こういった、すでに存在する例示と照らし合わせたときに、第三者提供に該当するか否か。そこが判断基準になると思います。
質問8「ISMS認証を取得されているとのことですが、既存事業だけでなく新規事業でも厳しい個人情報管理のルールが適用されてしまい、動きにくいといった事象が生じることはないでしょうか」
回答「新規事業であっても、個人情報保護の要件を満たす業務とシステムの設計は必要」
左古:
新規事業であっても、取り扱う情報や担う業務によって、機密性(C)・完全性(I)・可用性(A)を満たすシステムと業務を設計する必要があると考えます。
リスクをきちんと認識したうえで、サービスの特性上から既存事業と異なる基準のもとに運営が可能であれば、セキュリティルールの細分化を検討されるのもよいと思います。
しかし、それに時間を要するのであれば、セキュリティルールに則りリスクの受容承認をすることも可能ではないでしょうか。
大事なのはセキュリティルールを有耶無耶にして無視するのではなく、適切なリスク判断のもとでリスクを受容することだと考えます。
まとめ
「プライバシーガバナンス・個人情報保護法対応 対策すべきポイント」のセミナーレポート後編は以上となります。
企業がそれぞれ今できること・すべきことを議論し、スタートアップでもできることを工夫していく。そして、プライバシーガバナンスをプラスにとらえて対応することが、スタートアップの成長につながる。これらが登壇されたみなさまの共通のメッセージであると感じました。
ベルフェイスでは今後も、プライバシーガバナンス・個人情報保護法対応についての情報発信を続けてまいります。そのほかにも、企業のみなさまに役立てていただけるさまざまテーマのウェビナーを開催しておりますので、今後ともぜひお見逃しなく!
「プライバシーガバナンス・個人情報保護法対応 対策すべきポイント」【後編】 https://bs.bell-face.com/2022/11/11/2022111101/